[-][.][-][] تقرير كامل عن أخطر فيرس لهذا الموسم [][-][.][-]

بسم الله الرحمن الرحيم

الفيروس الغير مسمى

إلى كل أصحاب الشبكات ، إلى كل أصحاب مقاهي الانترنت، إلى كل من قهره هذا الفيروس العملاق، أنه معجزة برمجية أجل معجزة برمجية.
الفيروس من أقوى فيروسات الشبكات و إن جاز تحديد مجاله، الفيروس عبارة عن مجموعة فيروسات في الحقيقة كل واحد يقوم بتنزيل الآخر ليتم تحويل جهازك في النهاية إلى ملهى ليلي للفيروسات.
الفيروس الذي لم يقدر أيا من برامج مضادة الفيروسات حماية الشبكة منه و أن كان بعض هذه البرامج تحمي نزوله على الكمبيوتر فقط و من أول هذه البرامج برنامج Avira طبعا بعد التحديث .
الآن لنبدأ معا متابعة طريقة دخول الفيروس على الجهاز و العمل :
1- الفيروس يكون موجود له روابط على صفحات الانترنت المشبوهة يقوم أحمد المستخدمين بفتح هذه الصفحة و بكل هدوء و بساطه يتنقل الفيروس للمرحلة التالية.
2- يقوم الفيروس باستخدام Java****** و بأكود تم العبث بها بطريقة قوية تنم على ذكاء المبرمج و أن كانت هذه الأكواد مشهورة على الانترنت و عن طريق أدوات ActiveX و أهمهم Flash Player و Real Player و غيره من المشغلات أو أدوات ActiveX بتنزيل ملف EXE من نوع Win32 على الكمبيوتر الخاص بالضحية و عن طريق أكواد الشل Sell Codes يتم تشغيل هذا الملف بعد تنزيله و هذا الملف يسمى rm.exe .بمجرد تنزيل هذا الملف و تشغيله . أصبح جهاز الضحية حفلة فيروسات . و ليست أي فيروسات . فيروسات لديها الحماية الكافية التي تجعل من مضادات الفيروسات عديمة الجدوى .
3- طبعا كثيرا منا لدية مضادات ضعيفة و منا من ليس لدية أصلا . لذا فالأجهزة الضعيفة تكون بمثابة عش لهذا الفيروس . فبمجرد نزوله و تشغل ملف الفيروس الأساسي rm.exe يتم استدعاء باقي الفيروسات من على الشبكة أو من الملف نفسه و هذا ما لم نكتشفه حتى الآن. المهم أنه يقوم بتنشيط الفيروسات و عن طريق اتصال الملف rm.exe بواسطة ملفات DLL مهمة خاصة بالشبكات و النظام و هذه المكاتب هي : KERNEL32.DLL ، ADVAPI32.dll ، MSVCRT.dll ، USER32.dll . يتم إنشاء خادم اتصال بالانترنت على الجهاز و هذه من أخطر المراحل
4- يقوم الفيروس بتحويل المسار الرئيسي للاتصال بالانترنت (Gate Way) من الروتر إلى جهاز الكمبيوتر الذي تم إنشاء الأدوات عليه فيصبح الاتصال ليس مباشراً . بل من الشبكة العالمية إلى الروتر إلى الكمبيوتر و منه إلى باقي أجهزة الكمبيوتر .أي أن الكمبيوتر الموجود علية الفيروس يحل محل الروتر .بمجرد دخول أي جهاز كمبيوتر في شبكة مع هذا الكمبيوتر فأن المطلوب منك فقط فتح مجلد شبكات الاتصال أو ملفات الاتصال Network Connections و أنتظر فقط.
5- يتم إنشاء الاتصال بالشبكة و من الشبكة إلى المصدر الرئيسية و هو الخادم الذي أصبح مقر الفيروس الأساسي و الآن المطلوب منك فتح أي صفحة انترنت و لنفترض أنه www.google.com و فقط أنزل بنظرك قليلا إلى شريط الحالة في المتصفح الخاص بك stat bar و شاهد . أن المتصفح لا يذهب فقط إلى الموقع و لكن يذهب إلى عدة عناوين و تجد عناوين غريبة مكتوبة موجودة يتم عرضها للتمويه. هذا يعني أن اتصالك بالانترنت لم يكن مباشرا بل من المتصفح على الخادم إلى الانترنت . يعني أنك يجب أن تتصل به شئت أم أبيت . و هذا يعني أن الفيروس يجب أن يعمل في كل مره يتم فتح موقع انترنت فيها .
6- الفري بمجرد نزوله يقوم بعمل خادم كما قلت و ليس هذا و حسب بل أنه يقوم بعمل مجموعة من الخوادم . و لنفترض أن لديك 10 أجهزة كمبيوتر في الشبكة . كل جهاز يعمل عليه الفيروس يقوم بتحويله إلى خادم و لكن هناك خادم واحد يعمل و الباقي في وضع الخمول إلى أن يكتشف أحد الخوادم الخاملة أنه لا يوجد خادم نشط يقوم بالانتقال هو الآخر لوضع النشاط و خدمه باقي أطراف الشبكة .

هذا ما أستطيع قولة عن الفيروس المحدد و لكن يبقى الآن أن تطلعوا على العناوين و بيانات الفيروس الأخرى :
1. الفيروس صيني الجنسية
2. الفيروس يقوم بتنشيط و تحديث نفسخ بمجرد أي اتصال بالانترنت في الشبكة المصابة
3. عند توصيل جهاز غير محمي بالشبكة و الانتقال إلى شبكة أخرى يتم نقل الفيروس لها في أغلب الأحيان
4. الفيروس يقوم بفتح مواقع صينيه على جهاز الكمبيوتر في الخلفية.
5. الفيروس يقلل من إمكانيات المعالج لأنه يستهلك مساحة كبيره من الذاكرة
6. الفيروس يقوم بإدخال قيم في Registry تشل الجهاز و مضادات الفيروسات عن صد هذا الفيروس
7. الفيروس موجود على العنوان التالي 222.216.28.25 و لقد قمنا بمراسلة MacAfee و Data Center لإيقاف هذا الخادم عن خدمة الفيروس و قريبا إيقافه من البروكسي المصري عموما.
8. إذا كنت تريد تنزيل الفيروس فما عليك إلا دخول هذا الرابط

h t t p : / / a d . 8 d 7 7 b 4 2 a . i n f o

بدون أي حماية و سوف تعاني أكبر معاناة
9. بعض أنواع الفيروسات التي تعمل مع هذا الفيروس . هذا طبعا قبل تشغيل ملف rm.exe لأنه بعد ذلك لم أكن قادرا على تحديد الأنواع لأنهم كانوا في زيادة كبيره:
• HEUR/HTML.Malware
• EXP/Flash.Gen
• TR/Crypt.XDR.Gen
• HTML/SHellcode.Gen
• EXP/RealPlr.CT
• JS/Dldr.Agent.cie
الحل المتوقع :
الفيروس ليس له أي أدنا حل إلا دخول الوضع الآمن و تنظيف الجهاز من كل الفيروسات و تنزيل أقوى برامج الحماية من الاختراق و التروجن و الذي سوف يمنع تنفيذ أي كود جافا ضار. و كذلك من IP الموجود بالأعلى.
أما لأصحاب الشبكات فما زلنا صدد عمل برنامج يقوم بنقل الفيروس في وضع الخمول كليا . و كذلك منع عمل الفيروس أو أي جزء منه على الكمبيوتر .

قريبا مضاد الفيروسات الخاص بهذا الفيروس على وجه الخصوص و أعاننا الله على الخير كل الخير لصد هذا الخطر اللعين الذي أصبح يهدد كل الشبكات المحلية و التي قد تصل إلى العالمية.

تجربتى مع الفيرس ده

بعد ما الفيرس ده جابلى شلل كلى ومكنتش عارف اعمل معاه ايه وانا عندى النود

مسحت النود ودخلت على لينك الفيرس كانت النتيجه

عملى فولدر من غير اسم ولحد دلوقتى مش راضى يتمسح

طبعا انا لحقت نفسى وغيرت ويندوز بس الحل مش عارف هوه ايه الى الان

باختصار

الفيرس ده لما تيجيى تفتح موقع زى جوجل مثلا بتلاقى مكتوب تحت فى السيد بار الكلام ده

trojan-downloader .JS.Multi.cj

هو ده الفيرس اللى مفيش برنامج قادر يشيله

طبعا كل الناس قالت ان الكاسبر سكاى هو الوحيد اللى اكتشفه بس ممنعهوش

وطبعا الكاسبر بالنسبه للاجهزه العاديه موت بطى جداا

يعنى الفيرس ارحم [-][.][-][*] تقرير كامل عن أخطر فيرس لهذا الموسم [*][-][.][-] Smailes48

[-][.][-][*] تقرير كامل عن أخطر فيرس لهذا الموسم [*][-][.][-] Smailes48

علشان كده ياريت اللى عنده حل للفيرس ده يقوله